CN104335546B - 使用邻居发现来为其它应用创建信任信息的方法和装置 - Google Patents
使用邻居发现来为其它应用创建信任信息的方法和装置 Download PDFInfo
- Publication number
- CN104335546B CN104335546B CN201280073436.2A CN201280073436A CN104335546B CN 104335546 B CN104335546 B CN 104335546B CN 201280073436 A CN201280073436 A CN 201280073436A CN 104335546 B CN104335546 B CN 104335546B
- Authority
- CN
- China
- Prior art keywords
- neighbours
- equipment
- checking
- found
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
邻居发现用于为其它应用创建通用的信任数据库。作为邻居发现的一部分,每个设备对相邻设备的凭证执行分类和验证。而无需对其它应用执行单独的认证步骤。信任数据库与验证的结果作为邻居表被创建和维护的。通用信任数据库然后可以被其它协议查阅。邻居发现可以使用各种底层协议中的任何协议,但是产生的表对结果进行统合,使得其它应用或协议可以利用安全的身份而无需实现它们自己的发现过程。发现和验证都可以在本地被实现而不依赖于中央服务器。手动配置可以被避免。
Description
技术领域
本公开一般地涉及计算机网络,更特别地,涉及在网络组件之间建立信任。
背景技术
网络设备被设计为在网络中彼此互操作以进行服务。为避免未授权的设备的干扰,实施了各种认证协议。这些协议往往与中央认证服务器紧密相连。中央认证服务器接收来自网络设备的认证数据,执行验证和授权,并随后返回一组要采取的授权步骤。授权服务器维持静态的或手动创建的用于验证的设备或者密码的列表。然而,列表的维护可能是繁琐的和/或表现不好,导致网络操作中的困难或者缺乏时效性。
在本地实施的一些协议包括在本地级别处的验证。例如,用于创建虚拟专用网络的应用可以包括验证功能。在设备操作多个协议的情况下,对每个协议的本地验证操作可能浪费网络资源。
发明内容
根据本公开实施例的第一方面,提供了一种用于使用邻居发现来创建信任信息的方法,包括:由计算机网络设备使用邻居发现协议发起邻居发现,邻居发现协议负责对计算机网络设备的每个层2或层3链路上的多个邻居网络设备的发现;在邻居发现期间由计算机网络设备接收来自多个邻居网络设备的邻居发现分组,其中,邻居发现分组是依据邻居发现协议发现多个邻居网络设备的一部分,并且邻居发现分组包括关于每个邻居网络设备的类型的验证数据;根据邻居发现分组,由计算机网络设备判定每个邻居网络设备的验证水平,其中,验证水平是由邻居网络设备的验证数据的类型确定的;在计算机网络设备处,将每个邻居网络设备的验证水平以及验证数据存储在表中;由计算机网络设备操作多个协议;使用表的验证水平以及验证数据针对每个协议建立与一个或多个邻居网络设备的通信权限,其中,每个协议要求特定的验证水平来建立通信权限。
根据本公开实施例的第二方面,提供了一种用于使用邻居发现来创建信任信息的方法,包括:在本地设备处从其他设备接收邻居发现分组,邻居发现分组作为邻居发现协议的一部分而产生,邻居发现协议负责发现层2或层3处的其他设备,其中,邻居发现分组包括用于与其他设备进行通信的验证数据;在本地设备处使用接收到的邻居发现分组和验证数据生成关于其它设备的信任信息数据库;通过在本地设备上运行的应用在本地设备处查阅信任信息数据库;基于所查阅的信任信息,拒绝本地设备建立到其它设备中的第一设备的针对应用中的第一应用的通信链路;以及基于所查阅的信任信息,允许针对应用中的第二应用的通信链路。
根据本公开实施例的第三方面,提供了一种用于使用邻居发现来创建信任信息的装置,包括:存储器,存储器可操作来存储关于多个通信连通的设备的信任信息;处理器,处理器被配置为:在对多个通信连通的设备的初始邻居发现期间从多个通信连通的设备接收邻居发现分组,邻居发现分组包括用于与多个通信连通的设备进行通信的验证数据,其中,初始邻居发现作为邻居发现协议的一部分,邻居发现协议负责发现来自装置的每个链路处的通信连通的设备;在设备的邻居发现期间使用验证数据根据邻居发现分组对信任信息进行判定,其中信任信息确定设备是否处于相同的域中;以及执行多个协议,多个协议使用先前所发现的信任信息以及验证数据判定是否与设备中的各个设备进行通信。
附图说明
为提供对本公开及其特征和优点的更完全的理解,结合附图参考以下描述,其中相同的附图标记代表相同的部件。
图1是使用邻居发现来为其它应用创建信任信息的示例网络环境的简化框图。
图2是信任信息的示例表。
图3是使用邻居发现来为其它应用创建信任信息的网络设备的一个实施例的框图。
图4是使用邻居发现来为其它应用创建信任信息的方法的一个实施例的流程图。
图5是使用邻居发现来为其它应用创建信任信息的方法的另一实施例的流程图。
图6是根据一个实施例由其它应用使用信任信息的方法的流程图。
具体实施方式
邻居发现用于为其它应用创建通用的信任数据库。每个设备使用邻居发现来发现其邻居。在邻居发现期间,每个设备定期地向其它设备发送凭证。接收设备对相邻设备的凭证执行分类和验证。凭证和验证结果存储在本地,而无需对其它应用执行单独的认证。信任数据库与验证的结果作为邻居表而被创建和维护。
然后,通用信任数据库可以被其它协议查阅。邻居发现可以使用各种底层协议中的任何协议,但是产生的表对结果进行统合,使得其它应用或协议可以利用安全身份(identity)的特性而无需实现它们自己的发现过程。发现和验证都可以在本地被实现而不依赖于中央服务器。手动配置可以被避免。
图1-3介绍基于邻居发现的信任信息,该信任信息被网络和网络设备环境中的其它应用作为装置使用。图4-6提供与方法相关联的其它细节。
图1示出示例计算机网络10。网络10包括两个或两个以上网络设备12。在一个实施例中,网络10包括数十、数百、数千或更多的网络设备12。“网络设备”旨在涵盖任何计算设备或网络元件,比如服务器、路由器、个人计算机、笔记本电脑、智能电话(比如具有计算能力的蜂窝电话)、个人数字助理、客户端计算机、网络设备、交换机、网桥、网关、处理器、负载均衡器、无线LAN控制器、防火墙或可操作以在网络环境中影响或处理电子信息的任何其它合适的设备、组件、元件或对象。
网络10可以用于单域(比如cisco.com)或多域(比如cisco.com和pepsi.com)。例如,网络可以是用于一个或多个公司的广域网、局域网、内联网、外联网、无线局域网、虚拟局域网或多个网络的组合。
网络10可以是相对静态的,比如在数分钟、数天、数周或数年内提供的同一网络设备12。网络设备12可以偶尔被增加或被替换。在其它实施例中,网络10是动态的,比如允许网络设备12被经常增加或移除。例如,个人计算机或者智能电话在一天内可以连接到网络10或者从网络10断开。
网络设备12经由链路并且通过端口而被连接。可以使用任何数量的端口和链路。端口和链路可以使用相同或不同的媒介进行通信。可以使用无线、有线、以太网、数字用户线路(DSL)、电话线、T1线、T3线、卫星、光纤、线缆和/或其它链路。提供相应的接口作为端口。
为了进行相互通信,网络设备12执行邻居发现。邻居包括直接邻居,比如由一个中继段或单个链路连接在一起的多个网络设备12。邻居可以包括间接邻居,比如由不止一个中继段连接在一起的或者经由多个链路与一个或多个中间网络设备12相连的多个网络设备12。邻居可以是在层2(链路层)或层3(网路层)上的邻居。
邻居发现由每个网络设备12执行。每个设备发送邻居发现分组。例如,每个网络设备12周期性地广播邻居发现分组。接收所述分组的网络设备12可以为它们自己执行邻居发现。每个网络设备12根据邻居发送的分组确定自己的邻居。
不同域的网络设备12之间在通过链路进行通信上可能存在不同的限制。同一域的网络设备12之间的通信也可能存在限制。取决于数据、通信目的和/或其它因素,通信链路可以或者不可以被建立或使用。信任信息用于判定在两个网络设备12之间是否进行通信。
对那些邻居用于建立通信的验证被包含在邻居发现操作中。验证被耦合到邻居发现,而不是依赖于将验证特别耦合到由相邻网络设备12操作的协议。供信任决策中使用的表14被创建。图2示出信任表的示例。用于判定是否信任邻居网络12或者信任到什么程度的不同类型的数据被判定并被存储在该表中。在图2的示例中,数据类型包括证书类型、证书是否有效、有效性判定的计时(比如验证的新鲜性)以及发现方法。该表是由本地设备创建的不同的邻居设备的信息的集合。该信息与相对本地设备的相邻设备的认证或者验证相关联。所收集的信息可以被其它协议用于判定是否与任何相邻设备进行通信。如下面所讨论的,可以存储附加的、不同的或更少的数据源,比如存储接收到的或提取的凭证的副本。表中的凭证可被上层协议用于更进一步的验证或使用。
图3是示例网络设备12(比如通用或专用计算机)的简化的框图。示例网络设备70对应于可以被部署在网络10中的网络元件或计算设备。网络设备70包括软件和/或硬件以执行用于创建和使用来自邻居发现的信任信息的多个活动或操作中的任何一个或多个。
网络设备70包括处理器72、主存储器73、次级存储装置74、无线网络接口75、有线网络接口76、用户接口77和包括计算机可读介质79的可移除媒体驱动器78。总线71(比如系统总线和存储器总线)可以在处理器72和其它组件、存储器、驱动和网络设备70的接口之间提供电子通信。
可以提供附加的、不同的或更少的组件。组件旨在用于说明性目的,并不意味着暗示网络设备12的架构限制。例如,网络设备70可以包括另一处理器和/或不包括次级存储装置74或可移除媒体驱动器78。每个网络设备12可以包括比其它网络设备12更多或更少的组件。
处理器72(也可称为中央处理单元(CPU))是能够运行机器可读指令并对数据执行由机器可读指令指示的操作的任何通用或专用处理器。主存储器73对处理器72可以是直接可访问的以访问机器指令,主存储器73可以是随机存取存储器(RAM)的形式或任何类型的动态存储装置(比如,动态随机存取存储器(DRAM))的形式。次级存储装置74可以是任何非易失性存储器(比如硬盘),它能够存储包括可运行软件文件的电子数据。存储在外部的电子数据可以通过一个或多个可移除媒体驱动器78(其可以被配置为接收任何类型的外部媒体79,比如光盘(CD)、数字视频光盘(DVD)、闪存驱动器、外部硬盘驱动器或任何其它外部媒体)被提供给计算机70。
无线和有线网络接口75和76可以被提供以使得网络设备70和其它网络设备12之间能够经由一个或多个网络进行电子通信。在一个示例中,无线网络接口75包括具有合适的发送和接收组件的无线网络控制器(WNIC)(比如收发机),用于在网络10内进行无线通信。有线网络接口76可以使得网络设备70能够通过线缆(比如以太网电缆)物理地连接到网络10。无线和有线网络接口75和76都可以被配置为使用合适的通信协议(比如互联网协议组(TCP/IP))辅助通信。
所示出的网络设备70的无线和有线网络接口75和76仅用于说明性目的。虽然无线和硬接线接口中的一个或两个可以被设置在网络设备70中,或者外部连接到网络设备70,但是只需要一个连接选项来使网络设备70能够连接到网络10。网络设备70可以包括任何数量的、使用任何类型的连接选项的端口。
可以不在机器中提供用户接口77,或者在一些或所有机器中提供用户接口77以允许用户与网络设备70进行交互。用户接口77包括显示屏设备(比如,等离子显示面板(PDP)、液晶显示屏(LCD)或阴极射线管(CRT))。此外,可以包括任何适当的输入设备,比如键盘、触摸屏、鼠标、轨迹球、麦克风(比如用于语音识别输入)、按键和/或触摸板。
实施本文所描述的活动或功能的指令可以被存储在一个或多个外部计算机可读存储介质79上,在主存储器73、次级存储装置74或者网络设备70的处理器72的高速缓存中。网络设备70的这些存储器元件是非暂态计算机可读介质。在计算机可读存储介质或存储器(比如缓存、缓冲器、RAM、可移除介质、硬盘驱动器或者其它计算机可读存储介质)上提供用于实现本文所讨论的过程、方法和/或技术的逻辑。计算机可读存储介质包括各种类型的易失性和非易失性存储介质。因此“计算机可读介质”旨在包括能够存储供网络设备70运行的、引起机器执行本文所公开的活动中的一个或多个活动的指令的任何介质。
用作逻辑的被存储在存储器上的指令可以被处理器72运行。可以响应于存储在计算机可读存储介质中或上的一个或多个指令集而运行图中示出的或本文所描述的功能、动作或任务。功能、动作或任务独立于特定类型的指令集、存储介质、处理器或处理策略,并且可以被软件、硬件、集成电路、固件、微代码等单独地或组合地执行。同样,处理策略可以包括多处理、多任务、并行处理等。
附加的硬件可以被耦接到网络设备70的处理器72。例如,存储器管理单元(MMU)、附加的对称多处理(SMP)元件、物理存储器、外围组件互连(PCI)总线和相应的桥、或小型计算机系统接口(SCSI)/电子集成驱动(IDE)元件。网络设备70可以包括便于操作的任何附加的合适的硬件、软件、组件、模块、接口或对象。这可以包括允许对数据的有效保护和通信的适当的算法和通信协议。此外,任何合适的操作系统被配置在网络设备70中以适当地管理其中的硬件组件的操作。
存储器73、74、79中的一个或多个或者另一存储器将信任表信息存储为本地数据库。例如,主存储器73存储图2的表。身份、认证的有效性、有效性的计时和对多个连通的邻居设备12的发现方法被存储。信任表的内容将在下面进行讨论。
处理器72创建该表。处理器72在设备的邻居发现期间判定身份、认证的有效性、计时和发现方法。可以在不调用远程服务器或数据库的情况下做出有效性的判定。处理器12自动发现潜在地在不同域的邻居并在本地对凭证进行验证。访问列表或其它有效性信息被存储在本地,比如通过受信任的网络设备12填充该列表。可替代地,有效性是通过对远程服务器(比如认证服务器)的一个或多个调用得到判定的。信任表的创建将在下面进行讨论。
本地信任表可以被不同的协议使用。处理器72执行多个不同的协议。这些协议使用先前发现的身份和以下至少一个来判定是否与多个网络设备12中单独的网络设备进行通信:先前发现的认证的有效性、计时、发现方法或用于指示信任的其它信息。每个协议可以使用来自所述信任表的相同的或不同的信息。通过提供信任表供不同的协议使用,协议除了调用由处理器在邻居发现期间判定的值之外可以免于验证判定。这种方法把对身份的发现和验证与对信息的使用解耦。信任表使得其它协议能够使用这种验证信息。现有的邻居发现协议关注解决具体的使用情况,将发现、验证、授权和执行行为紧密地耦合在一起。解耦可以避免不同的协议使用中央服务器进行认证。移除紧耦合并创建发现和验证框架使得在多个协议之间能够重复利用邻居身份。例如,邻居表中单个邻居条目可以被开放最短路径优先(OSPF)路由协议用于安全地使得路由能够朝向邻居设备12,而同时同一条目被用于使得媒体访问控制(MAC)数据通信协议(比如层间的链路上的MAC安全标准(MACSEC)协议)成为可能,所有这些都没有任何手动配置。
作为邻居发现的一部分的信任信息的创建和多个本地协议对信任信息的使用可以被用于各种环境中。信任信息可以在需要能够与受信任的邻居进行通信的任何技术或协议中被使用。邻居设备12(比如通过验证所提供的凭证)被确认。上层技术决定是否信任邻居或是否基于信任表的可用的有效性信息。
在一个实施例中,信任信息被用于安全地标识自主网络中的邻居。自主网络利用很少的手动用户配置或不利用手动用户配置来建立并且设置网络10。与集中控制不同,网络设备12被配置为独立进行操作以形成并维护网络10。本地网络设备12基于预定的标准和/或关于由集中的权限所提供的网络的意图或目标的表达而作出决定。为在实现本地控制中进行交互,自主网络设备12为设备之间的安全通信创建控制平面。控制平面是单独的通信路径,用于处理网络连接以及除了使用该网络的通信之外的网络创建。自主网络可以允许新的节点被添加到网络中,而无需来自中央或网络管理节点的手动配置。控制平面被创建,并且通过邻居发现和驻留配置而添加新的节点。
邻居发现是自治网络的一部分。邻居发现是网络设备之间自主交互的第一步。在第一次启动时,自主设备自动地启用所有接口(“开启接口”),并在每个接口上启动邻居发现。邻居发现的一个目标是生成一个用于显示每个邻接的自主设备的身份证明和它的有效性的表。自主设备对相邻的自主设备执行邻居发现。两者之间的非自主设备可以被忽略。
邻居发现可能不提供拓扑结构,但却能提供信任信息。邻居发现不对每个邻居的信任做出任何判断。真实的信息(比如,验证的有效性和/或鉴别水平)被提供。其它协议使用信任信息来判断信任。更高层的协议和过程可以使用作为邻居发现的一部分被创建的信任信息。通过使用本地验证结果,可以在同一域的、具有当前的或经过验证的域凭证的邻居设备12间建立自主控制平面。信任信息被用于判定其它网络设备12是否位于同一域并相应地限制通信。
在另一环境中,信任信息被创建并被用于Trustsec操作。邻居设备12被自动检测到。如果邻居设备12具有有效的凭证,则在那些两个网络设备12之间的链路上启用802.1AE或电子与电气工程师协会(IEEE)的MACSEC。可以不需要手动配置的预共享密钥。
在另一示例环境中,路由协议使用信任信息用于建立路由协议的安全性。使用邻居发现期间所判定的验证信息,而不使用手动维护的特定于路由协议的预共享密钥。另一可能的使用情况是基于安全认证(比如,敌我识别(IFF))对设备或载具进行自动分类。
上面提供了在图1的网络和图3的网络设备的上下文中创建并使用来自邻居发现的信任信息的一般方法。图4示出使用邻居发现生成信任信息的方法以及其它本地协议对信任信息的使用。该方法由图1的网络设备12、图3的网络设备70或其它设备实现。例如,处理器70执行动作20、22和24。附加的、不同的或更少的动作可以被提供,比如用图5的动作实现动作20以及用图6的动作实现动作24。这些动作以所示出的或不同的顺序被执行。
在动作20,使用邻居发现生成信任信息。可以生成任何类型的信任信息,比如证书类型、证书有效性、口令比较、共享密钥、检查的计时、更新、发现的类型和/或注销。
为建立通信,互联网协议组的邻居发现协议(NDP)(比如IPv6SEND或其它层2或层3发现)被执行。NDP操作于互联网模型的互联层,但也可以操作于其它层。NDP负责网络设备12的地址自动配置、发现每个链路上的其它网络设备12、判定其它网络设备12的链路层(层2)地址、重复地址检测、查找可用的路由器和域名系统(DNS)服务器、地址前缀发现和/或维护与到其它活动的邻居网络设备12的路径有关的可达性信息。在使用IPv6的实施例中,邻居发现可以包括不同的ICMPv6分组类型来执行功能,比如分组或路由器请求、路由器通告、邻居请求、邻居通告和/或重定向。其它实施例和相应的分组可以被用于(比如)地址解析协议、互联网控制消息协议、路由器发现协议和/或路由器重定向协议。也可以使用其它邻居发现协议或技术。
在本地设备处生成关于其它设备的信任信息。网络中的每个网络设备或网络设备的子集为相应设备的邻居创建信任信息。每个网络设备为其邻居创建信任信息。本地设备被用于指与相邻设备建立信任的网络设备。下面对图5和图6的讨论是针对给定的本地设备。其它网络设备以相同或不同的方式操作。
图5示出用于实现图4的动作20的一个实施例。附加的、不同的或更少的动作可以被使用。这些动作以与示出的相同或不同的顺序被执行。动作32的接收、动作34的判定以及动作36的存储在每个或一些邻居网络设备的本地被执行。每个本地设备执行动作32、34和36,但是一些本地设备可以不执行。本地设备还在动作30中向任何相邻设备进行多播。接收到多播认证的相邻设备起到本地设备的作用。
在动作30,从本地设备对认证或邻居发现分组进行多播。邻居发现分组被从端口和/或通过链路发送或多播到相邻网络设备。取决于底层网络技术,可以启用一种或多种发现方法。例如,在自主网络(AN)中,邻居发现过程通过向IPv6链路本地“所有节点”多播地址发送分组来向所有的本地邻居发送发现分组。邻居发现分组可以从少于所有的端口或链路的端口或链路被发送。分组一般地被发送或者不具体定址到其他设备地被发送。可替换地,分组的单个的或定向传输被使用。
邻居发现在没有请求的情况下发生,比如周期性地(比如,每30秒)发送邻居发现分组。可以使用任何时间周期。可以使用请求和响应或者使用轮询布置而不是多播。
邻居发现分组被包含在邻居发现中。邻居发现在TCP/IP栈的层2或层3处被实现。邻居发现分组被包含在路由器请求、路由器通告、邻居请求、邻居通告和/或重定向中。例如,IPv6安全邻居发现(secure neighbor discovery,SEND)被用于验证IPv6路由器通告消息的真实性并验证来自邻居设备的消息。邻居发现分组是向邻居发送凭证并接收来自邻居的凭证的通用机制。邻居发现分组可以作为具有相同或不同安全性的另一邻居发现协议(比如互联网安全性协议(IPsec))的一部分被发送。邻居发现分组可以作为除邻居发现之外的层2或层3协议(比如用于创建可以被其它协议使用的通用信任信息的协议)的一部分被发送。
其它示例邻居发现协议包括多播和单跳协议(比如,IPV5邻居发现、思科发现协议(CDP)、链路层发现协议媒体端点设备(LLDP-MED)、零配置连网(Bonjour)、通用即插即用(UPnP)或者服务通告框架(SAF))。可以使用任何邻居发现。
邻居发现分组包括用于认证的任何期望的信息或者凭证。例如,有效负载包括凭证、密钥、共享信息、身份证明(UDI)或其它信息。用于验证身份的密钥加密的信息、报告、令牌或其它信息可以被包括在内。在一个实施例中,设备包括安全形式的认证凭证,比如特定于域的X.509证书、密钥或其它密码信息。证书被分配给设备并通过创建授权令牌将设备标识和域标识结合在一起。令牌被受信任的私有密钥签名。令牌被设备存储为凭证以用于作为认证信息被传输。相应的凭证被存储在相邻设备上并被任何给定的本地设备接收以进行验证。
在一个实施例中,邻居设备具有电子存储的凭证(比如,制造安装凭证)以提供设备和制造服务之间的信任。凭证使得设备能够信任制造者服务,反之亦然。在一个示例实施例中,制造安装凭证可以是电气和电子工程师协会(IEEE)801.1AR初始设备标识符(IDevID)或任何其它类似的例示。制造安装凭证在本文中也被称为安全唯一设备标识符(安全UDI或“SUDI”)。UDI可以包括新设备的产品标识符(PID)、版本标识符(VID)和/或序列号(SN)。安全的UDI或者不安全的UDI可以作为用于邻居发现分组的凭证的一部分被使用或被提供。
在动作32,由相邻设备发送的一个或多个邻居发现分组被本地设备接收。不同的本地设备接收与该本地设备相邻的网络设备的分组。网络设备接收相邻设备的邻居发现分组。网络设备使用来自邻居的信息进行发现和认证。网络设备接收来自被配置为发送认证信息的任何邻居设备的信息。所有的、多个、一个或没有邻居设备可以提供认证信息。当多播被使用时,邻居网络设备的邻居发现分组在邻居发现操作中被接收。当设备被唤醒或经常地,设备使用一组预定义的邻居发现算法在所有活动接口上执行邻居发现。
邻接协议在栈的一个或多个层上操作,比如层2或层3。来自邻居网络设备的邻居发现分组在层2上被接收使得邻居网络设备被直接连接到计算机网络设备。在自主网络的层2处,邻居发现在跨将它们互连起来的L2链路的两个自主设备之间被执行。在替代实施例中,分组通过任何数量的中继段被路由,比如与层3的消息传送相关联。在自主网络的层3处,邻居发现在跨将它们互连起来的层2域的两个自主L3节点或自主主机间被执行。这使得两个这种自主节点能够跨非自主L2网络发现彼此。另一用例是允许两个自主路由器发现两个路由器都被连接到网络的同一自主L2部分。自主设备接受与邻居发现过程相关联的分组,即使在“外部”接口上,其中通过定义所有的数据平面流量被丢弃在入口上。
邻居发现分组可以是受保护的。保护可以允许初始鉴别。邻居发现分组的起源是加密验证。例如,邻居的凭证被用于对分组的一部分或全部进行签名。分组可以包括报告或时间戳来保证新鲜性。可以使用完整性违反检测来避免对分组的修改。由于邻居发现分组被认为不携带机密信息,因此可以不要求机密性保护(加密)。
在一个实施例中,邻居发现是自主网络的一部分。由于自主设备在所有的接口上是开放的以接收邻居发现分组,因此提供使用发现分组来防止服务的分布式拒绝。可以使用任何对策,比如每个接口的速率限制器或者如果限制器不够则将任何被攻击的接口关闭一段时间。关闭可以只是在设备不能处理负载(比如,当CPU负载超过某个阈值(比如,80%))的时候发生。
对于自主网络,邻接协议包括协议版本。版本号在邻居发现过程中被交换以指示协议的版本号。版本号可以被用于建立通信和/或邻居发现过程。版本号可以被存储,比如在协议版本可以指示信任水平的情况下。
邻接协议包括域身份。域信息的交换被提供。域的子集可以得到支持(比如,对于域cisco.com,提供building24.cisco.com或marketing.cisco.com)。每个自主设备仅是一个单个域的一部分。新设备最初不是任何域的一部分。新设备使用默认(空)域名和它们的设备ID(UDI)参与进来。
发现可以包括能力信息。设备可以播报它们的能力,比如设备是否具有路由功能、设备是否可以充当管理站、设备是否可以充当自主网络注册机构(ANRA,即控制新设备加入自主域并向新设备提供域标识的设备)以及所支持的自主控制平面的类型。新能力可以被添加到邻居发现分组而不改变协议或协议版本。邻居发现能力字段被用于播报那些能力以确定接下来的步骤,比如播报某个管理站不能够进行能力交换步骤或者某个主机不支持活动集中点(ACP)设备。
如果邻接设备不支持自主行为,则对邻居发现消息没有响应可以被接收。对邻居是否是自主的识别在协议中是隐含的而不是明确的。有可能在任何接口上都没有响应。在这种情况下,依次尝试到达潜在的邻居的替代方式。例如,尝试特定的L2设置(比如,VLANID或DSL参数)。可以尝试不同的参数或者方法。如果所有的都失败了,则重复该过程。这种方法允许以不同的方式找出邻居,自动适应各种网络类型。
在动作34中,所接收到的邻居发现分组被用于验证相应的网络设备。网络设备根据邻居发现分组判定每个邻居网络设备的验证水平。该水平指示验证类型、验证结果或关于信任信息值的其它指示。
本地设备从邻居发现分组中提取认证凭证。有效负载和被用于认证的标题信息被识别。来自其它设备的接收到的邻居发现分组的有效负载被提取。
对所提取的认证进行验证。可以使用各种类型的验证。由域根签名的证书可以被用于验证同一域的证书。分组中的域散列是域根公共密钥数据的散列。对根凭证与域散列进行匹配。因此,从分组中提取的域散列被用于验证签名。例如,X.509证书验证被执行。为验证该证书,与所接收到的证书的发送者相匹配的证书被存储在本地设备中。首先,本地设备验证邻居设备的证书是合适的类型。例如,检查X.509v3扩展部分中的属性的值。然后,公共密钥被用于解码来自邻居设备的证书上的签名以获取MD5散列,其必须与在证书其余部分上计算得出的实际的MD5散列相匹配。可以使用其它密码验证,无论是否调用中央服务器。
基于口令或手动配置的列表可以用于验证。凭证可以包括口令或标识符。通过使用所存储的或所读取的口令和/或设备列表,邻居可以被验证。报告、时间戳或其它过程可以用于指示信任。
不止一个验证类型可以用于给定邻居设备。例如,网络设备判定是否存在公共信任锚、判定是否存在基于证书的鉴别、判定身份是否有效以及判定最近的证书是否已过期。例如,如果网络设备从邻居设备接收特定于域的X.509证书,则网络设备验证该证书的结构和格式。证书验证使用所接收到的证书的发送者的根证书和/或证书链。如果接收到其它类型的凭证,例如MD5预共享密钥,则信息被相应地验证。
证书不一定需要来自与接收设备相同的域。如果两个设备具有公共信任锚,则证书可以被验证。这使得验证属于其它域的设备的身份成为可能。由上层协议来决定是否与其它设备建立连接,即使当其它设备属于不同域时。
有各种方法来检查邻居的身份,这些方法具有各种安全性水平。使用加密身份的任何验证处理都可以被使用。网络设备装载有预共享密钥。在这个分类中可能存在子类。例如,不同的方法提供不同的水平。SUDI、802.1x、Trustsec或者安全CDP(sCDP)类型的验证可以提供不同水平的有效性。验证依赖于执行验证的网络设备是域的一部分。在自主网络示例中,两个自主设备可能都不具有域标识。设备可以与空域名交换它们的SUDI信息。然而设备可以相互验证它们的SUDI。这是有效结果,并被照此记录在邻居表中。因此如果网络中没有域和/或ANRA,网络仍可通过使用默认参数正常地形成。如另一示例,与验证相关联的其它因素可以指示有效性水平。所使用的加密的大小和强度、检查注销的能力、对网络设备和/或网络外的资源的访问、验证中所使用的信息源或其它方面也可以指示有效性。
其它有效性判定可以被使用,作为替代。例如,可以使用简单身份(比如,UDI)的验证。可以不使用验证。结果是验证错误的尝试验证可能发生。
验证开始于适合所提取的凭证的验证。可替代地,从有效性的最高水平向最低水平执行验证,其中每个水平都被尝试。如果验证的最高水平失败,则可以使用下一个较低级的验证水平(比如,尝试加密验证,然后如果加密验证失败则尝试简单身份验证)。即使在更高水平的验证已经成功的情况下,也可以执行多个等级的验证。
提取和随后的验证被自动执行,而无需与其它设备执行更多的交互。所需要的任何验证(比如来自第三方的其它密钥)被存储在网络设备上。口令、访问列表、身份或其它信息可以被存储在本地。可以以多种不同的方式获取合法的设备的列表。购买到的或者以其它方式获得的设备的UDI可以被手动输入、从销售清单(bill-of-sale)装载或者从条形码扫描得到。在一个实施例中提供小的手动维护,与域相关联的共享密钥被存储在网络设备上。该信息足以将另一网络设备认证为同一域的一部分。第三方验证信息可以被存储在本地。本地设备进行验证而无需本地设备外部的调用。验证发生在本地,而不是与中央服务器协商。在提取凭证和验证凭证之间执行验证,而无需与其它网络设备进行验证的交互。考虑到这个限制,由邻居提供的信息被尽可能安全地验证。
在替代实施例中,执行远程访问和相关联的调用以进行验证。用于认证的请求被发送到服务器。服务器返回用来验证或可被用于验证邻居设备的信息。受信任方或信任锚服务可以指示有效性。依赖或不依赖于对有效性的调用可以提供对信任的指示。
其它信任信息可以在验证中生成。周期性地或当验证被执行时,针对注销对证书进行检查。注销列表被维持在本地网络设备或远程设备上。例如,中央注销列表被用于验证邻居凭证是否已经被注销。身份可以在本地被验证,但是集中的权限可以决定不允许特定设备连接到域(比如,不允许被偷走的设备来连接)。注销列表是对其的认证被注销的设备(比如被破解的设备)的。该列表被自动或手动生成。
这种鉴别是关于有效性而不是信任的。邻居发现提供有效性信息。邻居是否被信任是独立的决定。有可能同一域的加密验证的邻居不被信任(比如,如果设备被破解)。也有可能简单身份是受信任的。
在动作36中有效性操作的结果被存储。该存储在网络设备处。验证的结果或者验证被存储在接收凭证并执行验证的设备的本地。如图1中所表示的,信任信息的表14被创建并被存储在各种网络设备12处。在其它实施例中结果可能被存储在远程。
结果被存储成表。可以使用任何格式的表,比如数据库中的字段。结果字段可以解释各种可能性。二进制信息可以被存储,比如有效或无效。其它输出可以被存储,比如测量或“错误”结果。
表包括对每个邻居网络设备的验证的水平。该水平被用于指示关于验证的等级或特定信息,而不是判断或排名。例如,验证类型和验证结果(是或否)被存储。有效性属性可以被存储以指示水平。对有效性的本地评估的结果可以提供关于信任锚(比如,“具有公共信任锚”;“不具有公共信任锚”)、证书是否有效、身份是否有效和/或新鲜度(比如,“证书过期”、“证书新鲜”、“未知”)信息。
图2示出一个示例表。在另一示例中,用检测到的任何相邻设备的信息填充邻居表。对于每个邻居设备,该表包括用于邻居识别的条目(比如,“router1.cisco.com”),邻居设备在何处被发现(比如,端口或接口)和/或邻居设备何时被发现(“Fastethernet1/1”,“12:37:3301/01/12”),该表还包括发现方法(比如,“自主SEND”)、凭证(比如,X.509证书)和这些凭证的验证的结果(比如,“证书有效”、“CRL检查合格”)。邻居识别可以包括设备的主机名和域名。任何可能的发现方法可以被识别,比如手动、L3发现、L2发现或者CDP。任何可能的凭证可以被识别,比如X.509证书、SUDI或者<empty>。
反映信任的其它信息可以被存储。例如,该表包括关于邻居的信息(比如,域和身份)、所接收到的凭证(比如,X.509证书)和验证结果。如另一示例,用于获取验证信息的方法被存储。其它信息可以被提供,比如报告、安全的UDI、不安全的UDI、口令、是否调用远程验证服务器、检查是否注销或者设备的制造商。
针对各个邻居设备,动作32、34和36的接收、验证和存储被重复。这种重复导致得到表中的每个邻居的验证信息。每个邻居还针对相应的邻居创建它们自己的表。
除了信任信息之外的其它信息可以被存储。例如,邻居设备的能力可以被存储。该能力也可以指示信任,比如设备不能执行指示设备不打算被连接到给定网络的某些操作。
表可以被修改。验证可以在每次发生邻居发现时被执行。邻居发现的发生可以基于本地设备的时间触发器。邻居发现的发生可以在每当邻居发现分组被接收时发生。其它触发器也可以被使用。
这种修改可以替换结果。例如,邻居设备可能已经具有无效的证书。邻居发现分组可以提供有效的新证书。新证书和有效性代替旧证书和无效的结果被存储在表中。
在动作38中修改可以删除结果。有效性水平的某些方面被删除。例如,由于时间,证书的“有效”条目被删除。如果还未接收到其它的证书,则“有效”可以被替换为空白或“无效”。在重复邻居发现不提供对当前条目的更新或确认情况下,旧条目可以被删除。经常地,如果在预定义的超时时间(比如,30秒)内没有接收到更新,则关于邻居表中特定邻居的信息被删除。根据所使用的认证协议,超时时间可以不同。更新失败而不是删除可以触发对认证信息的请求。定向邻居发现探测分组被发送。如果没有响应被提供给发现探测分组,则结果可以被删除。所有的或只有一些信息可以被删除。例如,图2示出了在没发生更新的情况下留下有效性结果但是删除计时信息。
再次参考图4,本地网络设备操作多个协议。在其它实施例中只能操作一个协议。所存储的信任信息对本地网络设备操作的任何协议是有效的。为了对协议进行操作,计算机网络设备运行应用的实例。
协议在TCP/IP栈的层3处或者更高层。协议所在的层高于用于获取信任信息的邻居发现。在其它实施例中,层2协议可以使用信任信息。
使用与其它网络设备的通信的任何协议可以使用信任信息。例如,路由、虚拟专用网、Trustsec或其它协议使用信任信息。有理由与邻居设备通信的任何应用可以使用信任信息用于判定何时、何地进行通信以及通信的内容。例如,安全过程可以基于根据信任信息所建立的域边界来定义安全界限(比如,使用同一域中的设备的有效身份证明来建立边界)。网络设备之间的控制平面可以只设置某些类型的邻居。不同类型的数据可以与或不与邻居设备通信。
协议依赖于一般可用的信任信息而不是耦合的验证。不具体针对协议或由协议来执行验证,而是依赖于表来执行验证。从邻居设备接收认证信息、判定认证的有效性以及存储结果与操作和建立其它协议解耦地执行。协议包括用于根据信任信息判定信任的标准。协议包括适合该协议的信任判断。
在其它实施例中,当被任何协议需要时,验证的一个或多个方面被执行。如果信任表中不提供所需的信息,该协议可以获取该信息。一些协议使用邻居表可能只是为了识别潜在的邻居。这些协议可以与设备建立单向通信并使用该协议而不是使用信任表对任何合格的凭证执行完整的验证步骤。
在动作24中,尝试与邻居设备或网络的其它组件建立通信的任何协议查阅信任信息。在本地设备处实现协议的应用查阅本地设备的邻居表。该表包括由本地设备所判定的针对邻居设备的信任信息。
访问信任信息以判定凭证验证的结果。可以访问指示信任的其它信息。例如,经过验证的域成员资格信息被访问。如另一示例,用于验证的计时和/或接口被访问。在另一示例中,验证的方法、证书的类型、信任锚、验证等级和/或其它信息被访问。
对信任信息进行访问以做出信任判断。不同类型的信息和相应的协议可以要求不同量的信任。例如,一个协议要求经过验证的域成员资格和加密身份的有效性。另一协议可能不需要经过验证的域成员资格但是要求加密身份的有效性。另一协议可能要求经过验证的域成员资格但是不需要具体的有效性结果。其它的对信任的指示可以在判断中被使用,比如验证的计时和/或发现方法的类型。
上层协议决定如何使用信任信息以及特定的邻居是否可以被信任。例如在自主网络中,具有有效的域证书并且是同一域的成员的相邻设备被认为是可信任的以使邻居设备成为同一网络的一部分而无需进一步的集中的或手动配置。
图6示出了图4的动作24中的查阅信任信息的示例实施例。附加的、不同的或更少的动作可以被提供。
在动作40中,通过在图4的动作24中查阅表和相应的验证水平,建立每个协议与一个或多个邻居网络设备的通信权限。通信的授权是基于从信任信息访问到的验证和/或其它信息的结果。针对给定通信使用适用于协议的信任判断,通信权限可以被建立。基于表中可用的信任信息,不同的协议作出相同或不同的信任判定。信任表中所反映的验证水平被与通信所需要的信任水平进行比较。
在动作44中,通信链路被拒绝。在查阅到的信任信息不指示充分信任的情况下,通信链路被拒绝。不提供从本地设备到特定的邻居设备的通信。例如,一个虚拟专用网络应用可能不信任,除非X.509凭证是有效的。如果其他的验证方法被使用,则不通过邻居设备建立该虚拟专用网络。
其他邻居设备可能有所需要的信任水平。在动作42中,通信链路可以被允许。另一个邻居设备可能有指示充分信任的信任信息,比如有效的X.509凭证。例如,与Trustsec相关联的应用使用信任信息而不是要求集中的权限来建立通信。
一个邻居设备可能对一个协议充分信任而对另一协议不充分信任。另一网络设备可能对在本地设备上被实现的所有协议充分信任。另一邻居可能对这些协议中的任何协议都不充分信任。可以产生对不同协议和邻居设备的任意可信度组合。
协议判定来自所收集的信任信息的信任以与一个或多个邻居设备建立通信。通过执行信任信息的产生和不同网络设备中对信任信息的使用,使用本地决策建立网络中和/或网络之间的通信。
尽管上面通过参考各种实施例对本发明进行了描述,但是应当理解可以在不背离本发明的范围的情况下做出许多改变和修改。因此前面的详细描述旨在被认为是说明性的而不是限制性的,并且应当理解下面的权利要求,包括所有的对等体,旨在定义本发明的精神和范围。
Claims (20)
1.一种用于使用邻居发现来创建信任信息的方法,包括:
由计算机网络设备使用邻居发现协议发起邻居发现,所述邻居发现协议负责对所述计算机网络设备的每个层2或层3链路上的多个邻居网络设备的发现;
在邻居发现期间由所述计算机网络设备接收来自所述多个邻居网络设备的邻居发现分组,其中,所述邻居发现分组是依据所述邻居发现协议发现所述多个邻居网络设备的一部分,并且所述邻居发现分组包括关于每个邻居网络设备的类型的验证数据;
根据所述邻居发现分组,由所述计算机网络设备判定所述每个邻居网络设备的验证水平,其中,所述验证水平是由邻居网络设备的验证数据的类型确定的;
在所述计算机网络设备处,将所述每个邻居网络设备的验证水平以及所述验证数据存储在表中;
由所述计算机网络设备操作多个协议;
使用所述表的所述验证水平以及所述验证数据针对每个协议建立与一个或多个邻居网络设备的通信权限,其中,每个协议要求特定的验证水平来建立通信权限。
2.如权利要求1所述的方法,其中在所述邻居发现期间接收所述邻居发现分组包括接收所述邻居发现分组作为发送发现分组。
3.如权利要求1所述的方法,其中接收所述邻居发现分组包括在层2处接收来自所述邻居网络设备的邻居发现分组,使得所述邻居网络设备被直接链接到所述计算机网络设备。
4.如权利要求1所述的方法,其中判定所述每个邻居网络设备的所述验证水平包括:
从所述邻居发现分组中提取所述邻居网络设备的认证凭证;以及
验证所述认证凭证。
5.如权利要求1所述的方法,其中在提取和验证之间,所述验证被执行为不针对所述验证与任何其他网络设备进行交互。
6.如权利要求1所述的方法,其中判定所述验证水平包括判定是否存在公共信任锚、判定是否存在基于证书的鉴别、判定身份是否有效以及判定最近的证书是否过期。
7.如权利要求1所述的方法,其中所述存储包括存储所述水平、来自所述邻居发现分组的凭证以及所述邻居网络设备的身份。
8.如权利要求1所述的方法,其中所述存储包括将所述水平作为验证测试的结果进行存储,其中建立所述通信授权包括基于所述结果判定授权。
9.如权利要求1所述的方法,还包括:
重复所述接收、所述判定和所述存储;
当所述重复不对所述邻居设备中的第一邻居设备的表进行更新时,从所述表中删除所述邻居网络设备中的所述第一邻居设备的水平。
10.如权利要求1所述的方法,其中所述操作包括针对每个协议运行应用实例,所述协议是TCP/IP栈的层3或更高层。
11.如权利要求1所述的方法,其中针对所述协议中的第一协议建立所述通信授权包括从所述表中访问所述一个或多个邻居网络设备的验证水平,并将所述验证水平与所述协议中的所述第一协议所要求的信任进行比较,所述协议不与验证耦合。
12.如权利要求1所述的方法,其中所述接收、所述判定和所述存储与所述操作和所述建立解耦地执行。
13.如权利要求1所述的方法,其中所述建立包括针对所述邻居网络设备中的一个建立对所述多个协议的授权,其中所述表被所述多个协议使用。
14.如权利要求1所述的方法,还包括:
向所述邻居网络设备发送所述计算机网络设备的邻居发现分组;以及
在每个邻居网络设备处本地执行所述接收、所述判定和所述存储。
15.一种用于使用邻居发现来创建信任信息的方法,包括:
在本地设备处从其他设备接收邻居发现分组,所述邻居发现分组作为邻居发现协议的一部分而产生,所述邻居发现协议负责发现层2或层3处的所述其他设备,其中,所述邻居发现分组包括用于与所述其他设备进行通信的验证数据;
在所述本地设备处使用接收到的邻居发现分组和所述验证数据生成关于其它设备的信任信息数据库;
通过在所述本地设备上运行的应用在所述本地设备处查阅所述信任信息数据库;
基于所查阅的信任信息,拒绝所述本地设备建立到其它设备中的第一设备的针对所述应用中的第一应用的通信链路;以及
基于所述所查阅的信任信息,允许针对所述应用中的第二应用的通信链路。
16.如权利要求15所述的方法,其中生成所述信任信息包括接收作为邻居发现的一部分的认证消息并在所述本地设备处执行验证而无需在所述本地设备外的调用。
17.如权利要求15所述的方法,其中查阅所述信任信息数据库包括查阅凭证验证的结果以及其它设备中的第一设备的域成员资格。
18.如权利要求15所述的方法,其中所述拒绝包括在所述第一应用包括VPN应用的情况下的拒绝,其中所述允许包括在所述第二应用包括基于访问列表的应用时的允许。
19.一种用于使用邻居发现来创建信任信息的装置,包括:
存储器,所述存储器可操作来存储关于多个通信连通的设备的信任信息;
处理器,所述处理器被配置为:在对所述多个通信连通的设备的初始邻居发现期间从所述多个通信连通的设备接收邻居发现分组,所述邻居发现分组包括用于与所述多个通信连通的设备进行通信的验证数据,其中,所述初始邻居发现作为邻居发现协议的一部分,所述邻居发现协议负责发现来自所述装置的每个链路处的通信连通的设备;在所述设备的邻居发现期间使用所述验证数据根据所述邻居发现分组对所述信任信息进行判定,其中所述信任信息确定所述设备是否处于相同的域中;以及执行多个协议,所述多个协议使用先前所发现的信任信息以及所述验证数据判定是否与所述设备中的各个设备进行通信。
20.如权利要求19所述的装置,其中所述处理器被配置为将所述信任信息判定为身份、证书有效性、计时和发现方法而无需调用远程服务器或数据库,所述协议可以免于验证判定,除了调用由所述处理器在所述邻居发现期间判定的值。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/477,913 US10257161B2 (en) | 2012-05-22 | 2012-05-22 | Using neighbor discovery to create trust information for other applications |
US13/477,913 | 2012-05-22 | ||
PCT/US2012/048527 WO2013176689A1 (en) | 2012-05-22 | 2012-07-27 | Using neighbor discovery to create trust information for other applications |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104335546A CN104335546A (zh) | 2015-02-04 |
CN104335546B true CN104335546B (zh) | 2017-09-08 |
Family
ID=46634552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280073436.2A Active CN104335546B (zh) | 2012-05-22 | 2012-07-27 | 使用邻居发现来为其它应用创建信任信息的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10257161B2 (zh) |
EP (1) | EP2859700B1 (zh) |
CN (1) | CN104335546B (zh) |
WO (1) | WO2013176689A1 (zh) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10484355B1 (en) | 2017-03-08 | 2019-11-19 | Amazon Technologies, Inc. | Detecting digital certificate expiration through request processing |
US9130837B2 (en) * | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
US10257161B2 (en) | 2012-05-22 | 2019-04-09 | Cisco Technology, Inc. | Using neighbor discovery to create trust information for other applications |
US8898737B2 (en) * | 2012-11-26 | 2014-11-25 | King Fahd University Of Petroleum And Minerals | Authentication method for stateless address allocation in IPv6 networks |
US9043884B2 (en) * | 2013-01-25 | 2015-05-26 | Cisco Technology, Inc. | Autonomic network protection based on neighbor discovery |
WO2014143025A1 (en) * | 2013-03-15 | 2014-09-18 | Hewlett-Packard Development Company, L.P. | Secure path determination between devices |
US9461983B2 (en) * | 2014-08-12 | 2016-10-04 | Danal Inc. | Multi-dimensional framework for defining criteria that indicate when authentication should be revoked |
US9560018B2 (en) * | 2014-12-08 | 2017-01-31 | Cisco Technology, Inc. | Autonomic locator/identifier separation protocol for secure hybrid cloud extension |
US9621948B2 (en) * | 2015-01-29 | 2017-04-11 | Universal Electronics Inc. | System and method for prioritizing and filtering CEC commands |
US9742798B2 (en) * | 2015-03-16 | 2017-08-22 | Cisco Technology, Inc. | Mitigating neighbor discovery-based denial of service attacks |
US20160380776A1 (en) * | 2015-06-29 | 2016-12-29 | Cisco Technology, Inc. | Secured neighbor discovery registration upon device movement |
WO2017011948A1 (zh) * | 2015-07-17 | 2017-01-26 | 华为技术有限公司 | 报文传输的方法、装置和系统 |
EP3319272B1 (en) | 2015-07-22 | 2019-09-04 | Huawei Technologies Co., Ltd. | Communication method, device and system based on data link layer |
EP3319286B1 (en) | 2015-07-29 | 2021-03-24 | Huawei Technologies Co., Ltd. | Neighbor relationship establishment method, device and system |
CN106686694B (zh) * | 2015-11-06 | 2020-01-21 | 大唐软件技术股份有限公司 | 一种设备联网方法和装置 |
US10248365B2 (en) * | 2016-12-30 | 2019-04-02 | Konica Minolta Laboratory U.S.A., Inc. | Method and system of using OAuth2 to secure neighbor discovery |
CN106790218A (zh) * | 2017-01-11 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种权限管理方法及装置 |
US10615987B2 (en) * | 2017-03-08 | 2020-04-07 | Amazon Technologies, Inc. | Digital certificate usage monitoring systems |
US11477648B2 (en) | 2017-04-21 | 2022-10-18 | Lg Electronics Inc. | V2X communication device autentication token in discovery response message and data communication method thereof |
US10530658B2 (en) * | 2017-05-12 | 2020-01-07 | Dell Products, L.P. | Discovery of system with unique passwords by management console |
US11075907B2 (en) * | 2017-12-20 | 2021-07-27 | Korea University Research And Business Foundation | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same |
US11134071B2 (en) * | 2018-04-23 | 2021-09-28 | Oracle International Corporation | Data exchange during multi factor authentication |
US11057366B2 (en) * | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
WO2020123192A1 (en) * | 2018-12-14 | 2020-06-18 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
US11102002B2 (en) * | 2018-12-28 | 2021-08-24 | Dell Products, L.P. | Trust domain isolation management in secured execution environments |
US11432132B2 (en) * | 2019-02-14 | 2022-08-30 | Motorola Mobility Llc | Dropping extraneous discovery messages |
US11196634B2 (en) * | 2019-04-05 | 2021-12-07 | Cisco Technology, Inc. | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery |
CN110417758B (zh) * | 2019-07-15 | 2020-05-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
US11115894B2 (en) | 2019-08-14 | 2021-09-07 | Motorola Mobility Llc | Managing FTM frames of WLAN RTT bursts |
CN112866343B (zh) * | 2020-12-30 | 2022-10-11 | 北京八分量信息科技有限公司 | 互联网节点中信任传播方法、系统及相关产品 |
CN112788121B (zh) * | 2020-12-30 | 2023-04-14 | 北京八分量信息科技有限公司 | 互联网节点中全局信誉值计算方法、系统及相关产品 |
CN114710365B (zh) * | 2022-05-25 | 2022-10-21 | 深圳华策辉弘科技有限公司 | 一种内网环境建立方法、电子设备和存储介质 |
CN115098173B (zh) * | 2022-06-17 | 2024-04-26 | 电子科技大学 | 一种基于双核amp架构的敌我识别信号高速识别的方法 |
CN117201042B (zh) * | 2023-11-02 | 2024-01-02 | 成都理工大学 | 基于节点信息可信度计量的设备自动化验证方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404247A (zh) * | 2010-09-10 | 2012-04-04 | 夏普株式会社 | 服务器装置、邮件服务器装置和传真服务器装置 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7821926B2 (en) * | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US7386721B1 (en) | 2003-03-12 | 2008-06-10 | Cisco Technology, Inc. | Method and apparatus for integrated provisioning of a network device with configuration information and identity certification |
US7451305B1 (en) | 2003-04-10 | 2008-11-11 | Cisco Technology, Inc. | Method and apparatus for securely exchanging cryptographic identities through a mutually trusted intermediary |
US20050246529A1 (en) | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
US20060077945A1 (en) * | 2004-10-08 | 2006-04-13 | Sharp Laboratories Of America, Inc. | System and method for validating networked devices |
EP1894379B1 (en) * | 2005-06-20 | 2012-03-14 | Telecom Italia S.p.A. | Method and system for managing authentication of a mobile terminal in a communications network, corresponding network and computer-program product |
US20070101400A1 (en) * | 2005-10-31 | 2007-05-03 | Overcow Corporation | Method of providing secure access to computer resources |
US8245284B2 (en) * | 2006-10-05 | 2012-08-14 | Microsoft Corporation | Extensible network discovery |
US8219800B2 (en) | 2007-06-06 | 2012-07-10 | Cisco Technology, Inc. | Secure neighbor discovery router for defending host nodes from rogue routers |
US8661252B2 (en) * | 2008-06-20 | 2014-02-25 | Microsoft Corporation | Secure network address provisioning |
US8341250B2 (en) | 2009-05-30 | 2012-12-25 | Cisco Technology, Inc. | Networking device provisioning |
US8621574B2 (en) * | 2009-06-02 | 2013-12-31 | Microsoft Corporation | Opaque quarantine and device discovery |
JP5452099B2 (ja) * | 2009-07-01 | 2014-03-26 | 株式会社日立製作所 | 証明書の有効性確認方法、証明書検証サーバ、プログラム及び記憶媒体 |
US20110161659A1 (en) | 2009-12-28 | 2011-06-30 | Motorola, Inc. | Method to enable secure self-provisioning of subscriber units in a communication system |
US8713589B2 (en) | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
US8950002B2 (en) * | 2011-08-15 | 2015-02-03 | Bank Of America Corporation | Method and apparatus for token-based access of related resources |
US8583812B2 (en) * | 2012-02-03 | 2013-11-12 | Gainspan Corporation | Reducing the size of volatile memory in an end device designed to operate with multiple versions of internet protocol |
US10257161B2 (en) | 2012-05-22 | 2019-04-09 | Cisco Technology, Inc. | Using neighbor discovery to create trust information for other applications |
US9130837B2 (en) | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
-
2012
- 2012-05-22 US US13/477,913 patent/US10257161B2/en active Active
- 2012-07-27 CN CN201280073436.2A patent/CN104335546B/zh active Active
- 2012-07-27 EP EP12743852.1A patent/EP2859700B1/en active Active
- 2012-07-27 WO PCT/US2012/048527 patent/WO2013176689A1/en unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404247A (zh) * | 2010-09-10 | 2012-04-04 | 夏普株式会社 | 服务器装置、邮件服务器装置和传真服务器装置 |
Non-Patent Citations (2)
Title |
---|
Neighbor Discovery for IP version 6(IPv6);T.Narten等;《Network Working Group》;20070930;第4-5页第2.1节,第12,35,38页,第59页第7.1.1节,第62-63页第7.2.3节 * |
Secure Neighbor Discovery(SEND);J.Arkko等;《Network Working Group》;20050331;第8-9页,第12页第5.1.2节,第17页第5.2.3节,第27-28页 * |
Also Published As
Publication number | Publication date |
---|---|
EP2859700A1 (en) | 2015-04-15 |
US10257161B2 (en) | 2019-04-09 |
EP2859700B1 (en) | 2019-02-06 |
CN104335546A (zh) | 2015-02-04 |
WO2013176689A1 (en) | 2013-11-28 |
US20130318570A1 (en) | 2013-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104335546B (zh) | 使用邻居发现来为其它应用创建信任信息的方法和装置 | |
Yazdinejad et al. | Blockchain-enabled authentication handover with efficient privacy protection in SDN-based 5G networks | |
US9043884B2 (en) | Autonomic network protection based on neighbor discovery | |
US9774452B2 (en) | System and method for enabling unconfigured devices to join an autonomic network in a secure manner | |
CN100591011C (zh) | 一种认证方法及系统 | |
US11405378B2 (en) | Post-connection client certificate authentication | |
CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
Mantravadi et al. | Securing IT/OT links for low power IIoT devices: design considerations for industry 4.0 | |
Conti et al. | CENSOR: Cloud‐enabled secure IoT architecture over SDN paradigm | |
WO2012027089A1 (en) | Securely accessing an advertised service | |
CN101808142B (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
Bairwa et al. | Mutual authentication of nodes using session token with fingerprint and MAC address validation | |
Santos | End-to-End Network Security | |
CN108834146A (zh) | 一种终端与认证网关之间的双向身份认证方法 | |
Shukla et al. | Leveraging blockchain and SDN for efficient and secure IoT network | |
Latah et al. | CWT-DPA: Component-wise waiting time for BC-enabled data plane authentication | |
Guenane et al. | A strong authentication for virtual networks using eap-tls smart cards | |
Ulz et al. | Secured remote configuration approach for industrial cyber-physical systems | |
CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
Zhu et al. | AS Alliance based security enhancement for inter-domain routing protocol | |
Njeru | An APN Authentication Model For A Secure Enterprise Wireless Local Area Network | |
Liu | Residential Network Security: Using Software-defined Networking to Inspect and Label Traffic | |
Bairwa et al. | Egyptian Informatics Journal | |
Ni et al. | An Enhanced Block Validation Framework with Efficient Consensus for Secure Consortium Blockchains |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |